Het hele ‘cloud’gebeuren is niet echt nieuw als idee. Ooit draaide het hele abonnementenbestand van Data News op een HP 3000 bij een servicebureau, met bij de eindgebuikers slechts een stel seriële terminals, een multiplexer en een (veel te dure) modem van de RTT, met tussenin een huurlijn. De beveiliging van het bestand was dus toen al een kwestie van vertrouwen in het servicebureau en zijn personeel. Toegegeven, de beveiligingsrisico’s zijn vandaag veel groter, al was het maar omdat heel wat meer mensen over computers en connectiviteitsmiddelen beschikken.

Veiliger ja en nee

Toch kan een leverancier van cloud-infrastructuur en -diensten wijzen op een aantal voor de hand liggende voordelen. Doordat een wolk van nature meer robuust is, kan hij vlot nieuwe systemen toevoegen en uitvallende systemen opvangen met fail-over voorzieningen. Door de verwerking en de data te spreiden, komt een klant bij een voorval niet meteen in de kou te staan

Anderzijds moet een leverancier ook de strikte scheiding tussen de toepassingen en data van de verschillende klanten in een ‘multi-tenants’-omgeving (een omgeving die door meerde ‘huurders’ wordt gebruikt) garanderen. Voorts moeten klanten goed opvolgen hoe de leveranciers met de opslag van data omgaan, onder meer in functie van de wettelijke verplichtingen van de klanten (bescherming van de privacy van hun klanten, eventuele wetgeving inzake het niet over de landsgrenzen opslaan van gegevens over burgers etc). Dat kan een uitdaging zijn voor leveranciers van clouddiensten met slechts een beperkt aantal datacenters (of met onvoldoende ‘safe harbour’ overeenkomsten). Ook moeten cloudleveranciers de wetten in acht nemen wat betreft het leveren van verwerkingsvermogen aan derden (aan mogelijk vijandige staten kan dus niet). Bovendien moet de klant ook voorvallen bij de leverancier kunnen opvolgen en eventueel auditen, met het oog op de naleving van governanceverplichtingen. Voor de leverancier kan dit gevolgen hebben als hij hierdoor meer datacenters moet bouwen of een (te) hoog beschermingsniveau op ruime schaal moet nastreven, ook voor klanten die hier eventueel niet echt nood aan hebben. Daarnaast mogen zowel de leverancier als de klant de klassieke beveiligingsnoden inzake toegangscontrole, firewalls, anti-virus/anti-malware niet uit het oog verliezen. Niet alleen moeten daarvoor aangepaste producten worden gebruikt, onderstreept Trend Micro, tegelijk vormt dit ook een grotere uitdaging voor het beheer en opvolgen van securityvoorvallen. Doorgaans zal een klant immers geen kijk hebben op grote delen van de infrastructuur bij de cloudleverancier, laat staan op het beheer van die infrastructuur. Het is dan ook aan de klant om een risico-analyse te doen, waarbij hij zich vaak slechts kan baseren op de informatie die de cloudleverancier zelf verstrekt. Marc Benioff, ceo van Salesforce.com, countert vragen terzake met de opmerking dat zijn bedrijf al zoveel Global top-X bedrijven over de vloer gekregen heeft met vragen over security, dat ze dat proces nu echt wel stevig onder de knie hebben.

De hele beveiligingskwestie is niet zonder belang,want vandaag ziet een onderzoeksbureau als Forrester Research “privacy, security en wettelijke verplichtingen” nog als belangrijke “struikelblokken.” Zo werd in de VS al bij herhaling geprotesteerd tegen het onderbrengen van overheidsdata en e-mails in een cloudomgeving. Onder meer het stadsbestuur van Los Angeles deed een voorstel in die zin. Die mails kunnen bijvoorbeeld informatie over huishoudelijk geweld of medische aspecten bevatten en het stadsbestuur moet dan ook garanderen dat gevoelige gegevens uit de wolk worden gehouden.

[GK]

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content